Создание туннеля между двумя подсетями при помощи OpenVPN Access Server

При размещении вычислительных ресурсов в публичном облаке часто возникает потребность в безопасном соединении между двумя различными подсетями, например офисной сетью и тестовой фермой в облаке Yandex Cloud. Основным решением для подобных задач выступает VPN, чтобы:

• объединить территориально удаленные сети;
• подключить внештатных сотрудников к офисной сети;
• организовать соединение с шифрованием поверх открытой сети Wi-Fi.

На этой странице рассказано, как организовать VPN-туннель с использованием технологии OpenVPN.

ПО OpenVPN Access Server совместимо с открытой версией OpenVPN и построено на ее основе. Продукт предоставляет клиенты для Windows, Mac, Android и iOS, а также позволяет управлять подключениями с помощью веб-интерфейса.

В примере туннель, объединяющий в одну сеть две разные подсети, организуется между двумя VPN-шлюзами, в качестве одного из которых выступает OpenVPN Access Server, а в качестве другого — машина с клиентом OpenVPN. Для тестирования работы VPN-туннеля необходимо настроить шлюзы на обеих сторонах туннеля. В примере рассмотрим случай, когда одна подсеть находится в облаке Yandex Cloud. Другая подсеть может находиться как в Yandex Cloud, так и во внешней сети.

Чтобы создать туннель между двумя различными подсетями:

1. Подготовьте облако к работе.
2. Создайте сеть и подсети.
3. Создайте ВМ, которые хотите связать.
4. Создайте ВМ-шлюз.
5. Запустите сервер VPN.
6. Настройте разрешения сетевого трафика.
7. Получите пароль администратора.
8. Создайте пользователя OpenVPN для туннеля.
9. Настройте шлюз второй подсети для доступа к серверу OpenVPN.
10. Проверьте работу туннеля.

Если сервер VPN больше не нужен, удалите созданные ВМ.

Подготовьте облако к работеПодготовьте облако к работе

Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:

1. Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь.
2. На странице Yandex Cloud Billing убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его и привяжите к нему облако.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.

Подробнее об облаках и каталогах.

Необходимые платные ресурсыНеобходимые платные ресурсы

В стоимость поддержки инфраструктуры OpenVPN входят:

• плата за диски и постоянно запущенные виртуальные машины (см. тарифы Yandex Compute Cloud);
• плата за использование динамического или статического внешнего IP-адреса (см. тарифы Yandex Virtual Private Cloud);
• плата за лицензию OpenVPN Access Server (при использовании более двух подключений).

Создайте сеть и подсетиСоздайте сеть и подсети

Для связи облачных ресурсов с интернетом необходимо иметь сеть и подсети.

Создайте сетьСоздайте сеть

Создайте подсетиСоздайте подсети

Создайте ВМ, которые хотите связатьСоздайте ВМ, которые хотите связать

Создайте ВМ-шлюзСоздайте ВМ-шлюз

Запустите сервер VPNЗапустите сервер VPN

Создайте ВМ, которая будет шлюзом VPN-подключений:

Настройте разрешения сетевого трафикаНастройте разрешения сетевого трафика

Получите пароль администратораПолучите пароль администратора

На сервере OpenVPN заранее создан пользователь openvpn с административными правами. Пароль генерируется автоматически при создании виртуальной машины.

Получите пароль в выводе последовательного порта или в серийной консоли. Пароль отобразится в строке:

To login please use the "openvpn" account with <пароль> password.

Где <пароль> — пароль пользователя openvpn.

Для первого входа в административную панель используйте логин openvpn и полученный пароль.

Если вы не получили пароль после первого запуска сервера VPN, необходимо заново создать ВМ с OpenVPN Access Server. При перезапусках пароль не отображается.

Создайте пользователя OpenVPN для туннеляСоздайте пользователя OpenVPN для туннеля

OpenVPN Access Server предоставляет два веб-интерфейса:

1. Client Web UI по адресу https://<публичный IP-адрес ВМ>:943/. Интерфейс предназначен для входа обычных пользователей, скачивания клиентских программ и профилей конфигурации.
2. Admin Web UI по адресу https://<публичный IP-адрес ВМ>:943/admin/. Интерфейс предназначен для настройки сервера.

После того, как на виртуальной машине в облаке Yandex Cloud, которая будет выполнять функцию шлюза, будет развернут OpenVPN Access Server, у вас будут конкретные адреса и учетные записи следующего вида (ваши IP-адреса могут быть другими):

1. Внутренний IP шлюза vpn-server: 10.128.0.3
2. Публичный IP машины vpn-server: <публичный IP-адрес ВМ>
3. Admin Web UI: https://<публичный IP-адрес ВМ>:943/admin
4. учетная запись для доступа в Admin UI: openvpn/<пароль администратора>
5. Client Web UI: https://<публичный IP-адрес ВМ>:943

Создайте на сервере OpenVPN пользователя, от имени которого шлюз второй подсети будет осуществлять доступ к серверу OpenVPN для работы туннеля. Чтобы создать пользователя, войдите в административную панель Admin Web UI:

1. Откройте в браузере адрес https://<публичный IP-адрес ВМ>:943/admin.
2. Введите имя пользователя openvpn и пароль (см. раздел про получение пароля администратора).
3. Нажмите кнопку Agree. Откроется главный экран административной панели OpenVPN.
4. Разверните вкладку User management и выберите пункт User permissions.
5. В списке пользователей введите имя нового пользователя в поле New Username, например as-gw-user.
6. Нажмите значок карандаша в столбце More Settings и в поле Local Password введите пароль нового пользователя.
7. В поле Access Control выберите User Routing и укажите текущую локальную подсеть, в которой установлен сервер OpenVPN Access Server, например 10.128.0.0/24.
8. В поле VPN Gateway выберите Yes и укажите другую локальную подсеть, к которой нужно прокинуть туннель, например 10.253.11.0/24.
9. Нажмите кнопку Save settings.
10. Нажмите кнопку Update running server.
11. Зайдите в панель пользователя под новым аккаунтом as-gw-user, сохраните профиль подключения в файле as-gw-user.conf и перенесите этот файл на виртуальную машину, которая будет служить шлюзом для туннеля OpenVPN в другой подсети.

Настройте шлюз второй подсети для доступа к серверу OpenVPNНастройте шлюз второй подсети для доступа к серверу OpenVPN

В консоли машины vm-ovpn-gw выполните следующие команды:

sudo apt update
sudo apt install openvpn
cp as-gw-user.conf /etc/openvpn/client/
echo -e "as-gw-user\n<пароль>" > /etc/openvpn/client/param.txt

После этого в папке /etc/openvpn/client/должен появиться файл param.txt, и туда же скопируйте созданный ранее файл конфигурации as-gw-user.conf пользователя OpenVPN, созданного для организации туннеля:

ls -lh /etc/openvpn/client/

Результат:

total 16K
-rw-rw-r-- 1 root root 9.7K Nov 10 14:37 as-gw-user.conf
-rw-r--r-- 1 root root 24 Nov 10 14:31 param.txt

В файле /etc/openvpn/as-gw-user.conf в строке с auth-user-pass укажите имя файла param.txt:

dev tun
dev-type tun
remote-version-min 1.2
reneg-seq 604800
auth-user-pass param.txt
verb 3
push-peer-info

Выполните команды:

sudo systemctl enable openvpn-client@as-gw-user
sudo systemctl start openvpn-client@as-gw-user
sudo systemctl status openvpn-client@as-gw-user

Результат должен выглядеть примерно так:

● openvpn-client@as-gw-user.service - OpenVPN tunnel for as/gw/user
    Loaded: loaded (/lib/systemd/system/openvpn-client@.service; enabled; vendor preset:
enabled)
    Active: active (running) since Fri 2022-11-11 20:12:49 UTC; 1h 6min ago
        Docs: man:openvpn(8)
            https://community.openvpn.net/openvpn/wiki/Openvpn24ManPage
            https://community.openvpn.net/openvpn/wiki/HOWTO
    Main PID: 2626 (openvpn)
    Status: "Initialization Sequence Completed"
        Tasks: 1 (limit: 2237)
    Memory: 2.0M
        CPU: 157ms
    CGroup: /system.slice/system-openvpn\x2dclient.slice/openvpn-client@as-gw-user.service
            └─2626 /usr/sbin/openvpn --suppress-timestamps --nobind --config as-gw-user.conf

Для включения пересылки пакетов от других хостов выполните команды:

vm-ovpn-gw:~$ sudo bash -c "echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf"
vm-ovpn-gw:~$ sudo sysctl -p

Проверьте на шлюзе vpn-server, что есть маршрут до 10.253.11.0/24 :

vpn-server:~$ sudo ip route

Результат:

default via 10.128.0.1 dev eth0 proto dhcp src 10.128.0.3 metric 100
10.128.0.0/24 dev eth0 proto kernel scope link src 10.128.0.3
10.128.0.1 dev eth0 proto dhcp scope link src 10.128.0.3 metric 100
10.253.11.0/24 dev as0t2 proto static
172.27.224.0/22 dev as0t0 proto kernel scope link src 172.27.224.1
172.27.228.0/22 dev as0t1 proto kernel scope link src 172.27.228.1
172.27.232.0/22 dev as0t2 proto kernel scope link src 172.27.232.1
172.27.236.0/22 dev as0t3 proto kernel scope link src 172.27.236.1

Проверьте на машине vm-ovpn-gw маршрут до 10.128.0.0/24:

sudo ip route

Результат:

default via 10.253.11.1 dev ens18 proto dhcp src 10.253.11.19 metric 100
10.128.0.0/24 via 172.27.232.1 dev tun0 metric 101
10.253.11.0/24 dev ens18 proto kernel scope link src 10.253.11.19 metric 100
10.253.11.1 dev ens18 proto dhcp scope link src 10.253.11.19 metric 100
172.27.224.0/20 via 172.27.232.1 dev tun0 metric 101
172.27.232.0/22 dev tun0 proto kernel scope link src 172.27.232.5
178.154.226.72 via 10.253.11.1 dev ens18

Проверьте работу туннеляПроверьте работу туннеля

Для проверки работы туннеля вам потребуются описанные ранее тестовые машины, которые находятся в обеих подсетях и отличны от шлюзов туннеля.

Чтобы эти две машины могли передавать между собой данные, обе они должны видеть статические маршруты до другой подсети. На ao-openvpn-test — до 10.253.11.0/24, а на vm-ovpn-host до 10.128.0.0/24.

На vm-ovpn-host выполните команду:

sudo ip route add 10.128.0.0./24 via 10.253.11.19

На тестовой машине в облаке Yandex Cloud добавление статического маршрута внутри виртуальной машины не поможет. В облаке Yandex Cloud статические маршруты для виртуальных машин нужно указывать иначе.

В облаке Yandex Cloud виртуальные машины ao-openvpn-as (сервер OpenVPN) и ao-openvpn-test находятся в одной подсети default. В настройках этой подсети добавьте статический маршрут с такими параметрами:

Name: office-net
Prefix: 10.253.11.0/24
Next hop: 10.128.0.3

Чтобы этот статический маршрут применился к виртуальной машине ao-openvpn-test, выключите и включите ее.

Теперь с машины vm-ovpn-host проверьте туннель командой ping до другой тестовой машины:

ping 10.128.0.4

Результат:

PING 10.128.0.4 (10.128.0.4) 56(84) bytes of data.
64 bytes from 10.128.0.4: icmp_seq=1 ttl=61 time=7.45 ms
64 bytes from 10.128.0.4: icmp_seq=2 ttl=61 time=5.61 ms
64 bytes from 10.128.0.4: icmp_seq=3 ttl=61 time=5.65 ms
^C
--- 10.128.0.4 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 5.613/6.235/7.446/0.855 ms

И с другой стороны туннеля, с тестовой машины ao-openvpn-test:

ping 10.253.11.110

Результат:

PING 10.253.11.110 (10.253.11.110) 56(84) bytes of data.
64 bytes from 10.253.11.110: icmp_seq=1 ttl=61 time=6.23 ms
64 bytes from 10.253.11.110: icmp_seq=2 ttl=61 time=5.90 ms
64 bytes from 10.253.11.110: icmp_seq=3 ttl=61 time=6.09 ms
64 bytes from 10.253.11.110: icmp_seq=4 ttl=61 time=5.69 ms
^C
--- 10.253.11.110 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3005ms
rtt min/avg/max/mdev = 5.688/5.976/6.229/0.203 ms

Как удалить созданные ресурсыКак удалить созданные ресурсы

Чтобы освободить ресурсы в каталоге, удалите ВМ vpn-server и тестовую ВМ.

Если вы зарезервировали публичный статический IP-адрес, удалите его.

См. такжеСм. также

• OpenVPN Project Wiki
• Получить содержимое сертификата от Let's Encrypt
• Connecting to Access Server